kriptologija (v. stakenas)
TRANSCRIPT
Vilius Stakenas
KriptologijaPaskaitu konspektas
2002
2
Senuju amiu kriptograjos apvalga z z
1. Ivadas 1.1. Senuju amiu kriptograjos apvalga z z Savoir est pouvoir. Zinios yra j ga. Msu inios yra msu j ga, o inios apie mus? Kartais tai gali bti e u z u e z u j ga, kurios vert tu ivengti. e e s Jeigu informacija apie objekta egzistuoja tik kartu su juo, tai dideliu problemu nekyla. Jei objekto nematyti, tai ir informacijos apie ji n ra. Taiau mon s sugalvojo bda, kaip atskirti daiktus ir reikinius e c z e u s nuo iniu apie juos. Paprastai sakant, jie sugalvojo rata. Tai reikia, kad mon s be savo pirminio realaus z s s z e gyvenimo igijo antrine ,,urayta, nekontroliuojama bti. Juk sakoma, kad odis ne virblis, iskridusio z s u z z s nepagausi. Atsiradus ratui, kuri supranta visi ratingi mon s, greitai atsirado ir bandymai rayti taip, kad ne visi s s z e s suprastu. Pirmuosius tokius bandymus rayti kitaip negu visi liudija madaug 3-4 tkstantmeio pr. Kr. s z u c egiptieiu iraai antkapiniuose akmenyse. Siu irau hieroglifai skiriasi nuo iprastiniu kasdieninio vartojimo c s s hieroglifu. Galbt itaip siekta patraukti skaitytoju d mesi, suteikti iraams paslaptingumo. Siaip ar taip tai u s e s pirmieji bandymai rayti ne taip, kad btu lengviau perskityti, taiau siekiant apsunkinti skaityma. Taiau s u c c niekas negali patvirtinti, kad egiptieiai tikrai naudojo slaptarati tiesiogine odio prasme, t.y. bda rayti c s z z u s taip, kad suprastu tik tie, kam tas ratas skirtas. s Neabejotina, kad slaptarati naudojo ydu ratininkai. Pavyzdiui, Sventojo rato Jeremijo knygoje, s z s z s paraytoje apie 500-600 pr. Kr. naudojamas vadinamasis ATBASH slaptaratis. Jo esm , kad vietoje s s e vienu raidiu naudojamos kitos. Pavyzdiui, perraydami lietuviu kalbos ab c le paraytus tekstus iuo z z s e e s s slaptaraiu tur tume keisti raides tokia tvarka sc e A Z A Z B V C U C U D U E T E E F S S R G H P O I N I M Y L J K
Slaptaraiai minimi ir klasikin s Graikijos altiniuose. Pavyzdiui, Spartoje apie 500 m. pr. Kr. buvo sc e s z naudotas tekstu ifravimo bdas, kuri galime laikyti pirmuoju ,,ifravimo mainos panaudojimo atveju. s u s s ,,Prietaisas labai paprastas: ji sudaro lazdel (graikikai skytal ) ir odos juosta, kuria reikia uvynioti ant e s e z lazdel s pagal sraigtine linija. Po to iilgai lazdel s ant odos reikia rayti teksta: eilut po eilut s. Baigus e s e s e e rayti, juostel nuvyniojama. Ant jos pamatysime tarsi atsitiktinai uraytas raides. Kad i ju v l susid tu s e z s s e e prasmingas tekstas, juostele v l reikia uvynioti ant to paties skersmens lazdel s. Kai kurie autoriai abejoja, e z e ar toks ifravimo bdas tikrai buvo naudojamas. Siaip ar taip id ja yra puiki. s u e Taiau svarbiausias graiku inaas i moksla apie slaptaji rata pats io mokslo pavadinimas. Kripc s s s tograja, kriptologija - abu terminai prasideda tuo paiu graiku kalbos odiu kripto ( ) sl pti. c z z e Slaptaraio menas minimas ir klasikiniuose indu civilizacijos altiniuose. Pavyzdiui, apie 300 m. pr. sc s z Kr. paraytame politikos veikale ,,Artha-Sastra itaip patariama rinkti informacija apie moniu lojaluma: s s z ... reikia pasiklausyti elgetu neku, o taip pat girtuokliu ir kvailiu, perskaityti uraus ant sienu maldininku lankomose z s s vietose ir ventyklose o taip pat iifruoti uraus ir slaptus ratus... s ss z s s
Slaptaraio menas minimas ir ,,Kama-Sutroje kaip 44-asis i 64 menu, kuriuos turi imanyti vyrai ir sc s s moterys. Taiau sugrikime prie Vakaru civilizacijos. c z Didysis Cezaris rae Ciceronui naudodamasis labai paprastu teksto ifravimo bdu: kiekviena ab c l s s s u e ee raid keiiama raide, kuri ab c l je urayta trimis pozicijomis toliau. Kad suprastume, kaip keiiamos e c e ee z s c paskutin s trys ab c l s raid s, isivaizduokime, kad ab c l irayta apskritimu. Galima susitarti kiekviena e e ee e e ee s s ab c l s raide keisti ne treiaja, bet ketvirtaja, penktaja ... toliau urayta raide. Toki ifravimo bda e ee c z s s u vadiname Cezario kriptosistema. Msu akimis ji yra paprasta tarsi aisliukas. Taiau tuomet, kai net u z c neuifruota teksta skaityti ne tiek jau daug kas mok jo, jos, tikriausiai, pakako. Mums ji teb ra idomi kaip zs e e paprastas ifravimo pavyzdys, kuriuo pasinaudojus galima paaikinti kai kurias gana sud tingas kriptologijos s s e savokas. Apie viduriniuju amiu kriptograja nedaug idomaus galima pasakyti. Slaptaraiai buvo naudojami z sc magikiems receptams ifruoti. Jeigu kas dom josi kriptograjos teorija tai tik arabai. Taiau dauguma ju s s e c kriptograjos veikalu neiliko. 1412 metais ubaigtoje 14 tomu arabu mokslo enciklopedijoje buvo skyrius, s z skirtas kriptograjai.
Ivadas
3
1467 metai yra svarbi Vakaru pasaulio kriptograjos data. Tais metais Leonas Battista Alberti (1404 1472) parae 25 puslapiu ,,De cifris, kuriame id st nauja tekstu ifravimo bda. L. Alberti buvo tikras s s e e s u Renesanso mogus. Tokiu ivairiapusiu interesu mogu msu laikais sunku sutikti. Jis buvo architektas, z z u dailininkas, kompozitorius, vargonininkas, o taip pat mokslininkas. L. Alberti mok jo iifruoti ifrus, kurie e ss s paremti vienu raidiu keitimu kitomis. Jis ik l minti, kad ifruojant galima vienas raides keisti kitomis z s ee s ne pagal viena ir ta paia taisykle, bet naudoti kelias taisykles. Jis sugalvojo paprasta prietaisa, kuriuo c naudojantis ta galima lengvai daryti.
Alberti skrituliai prietaisa sudaro du skrituliai didesnis ir maesnis. Iilgai ju kratu iraytos 24 lotynikos ab c l s Si z s s s s s e ee raid s, maesniji galima sukioti apie ai, kuri eina per bendra abieju skrituliu centra. Fiksave maojo skritulio e z s z pad ti didiojo atvilgiu gauname raidiu keitimo kitomis raid mis taisykle: kiekviena ant didiojo skritulio e z z z e z urayta raide keiiame po ja stovinia maojo skritulio raide. Uifrave pirmaja teksto raide galime pasukti z s c c z zs maaji skrituli ir antraja raide jau ifruoti naudodami kita raidiu keitimo taisykle! Taigi telieka susitarti, z s z kaip reikia sukioti maaji skrituli. Nesunku suprasti, kad iais skrituliais galime naudotis ir deifruodami z s s ifra. s Tiems laikams tai tikrai saugus ifras. Alberti gal tume vadinti moderniosios kriptologijos pradininku. s e Taiau i tiesu jo iradimas buvo pamirtas ir v liau ne karta irastas i naujo. Pavyzdiui, panaia ifravimo c s s s e s s z s s sistema 1518 metais pasil benediktinu vienuolis Trithemius pirmojoje spausdintoje kriptograjos knygoje ue ,,Polygraphiae. Giovanis Batista Belaso 1553 metais sugalvojo, kaip paprastai nurodyti naudojimosi Alberti skrituliais taisykle. Ja galima nusakyti vienu ar keliais odiais. Pavyzdiui, taisykl , nusakoma odiu z z z e z z BELASO yra tokia: pasukame maaji skrituli, kad po didiojo skritulio raide A btu maojo skritulio raid z z u z e B, uifruojame pirmaja teksto raide; pasukame maaji skrituli, kad po didiojo skritulio raide A btu maojo zs z z u z skritulio raid E, uifruojame antraja teksto raide ir t.t. Uifrave pirmasias eias teksto raides naudojame e zs zs s s ta pati odi nuo pradios. Taigi odis yra io ifro raktas. Atrodo, matematikui ir gydytojui Dirolamo z z z s s z Kardano at jo i galva mintis, kad i ifra galima dar patobulinti, naudojant pati ifruojama teksta kaip e s s s rakta. Tai galima daryti ivairiais bdais. Pavyzdiui, pirmaja teksto raide galime uifruoti naudojant i u z zs s anksto sutarta skrituliu tarpusavio pad ti, o po to pati ifruojama teksta naudoti kaip rakta, t.y. sukioti e s maaji skrituli taip, kaip nurodo ifruojamo teksto raid s. z s e Alberti irastas ifras dabar daniausiai vadinamas Vigenere ifru. Blezas de Vigenere (1523-1596) buvo s s z s pranczu diplomatas, daug keliaves po Europa. Bdamas 47 metu jis atsid jo vien raymui. Rae apie viska: u u e s s alchemija, magija, kabala, kometas, ifrus... 1585 metais parae 600 puslapiu veikala apie ifrus ,,Traict` des s s s e Chires. Tai nebuvo vien kriptograjos veikalas. Jame buvo receptu ir apie tai, kaip pasigaminti aukso. Taiau Vigenere gerai id st ir to laiko kriptograjos pagrindus. c s e e XVII amiuje kriptograja ir kriptoanaliz tapo kasdieniu didiosios politikos irankiu. Pirmuoju profez e z sionaliu Pranczijos kriptgrafu buvo Antuanas Rossignolis, o anglu matematikas Donas Valis. A. Rossigu z nollio karjera prasid jo 1628 metais, kai jis prisid jo prie karaliaus, kovojanio prie hugenotus. Karalie e c s aus alininkai buvo apsupe gerai itvirtinta Realmonto miesta. Nesitik dami miesto paimti jie gal btu ir s e u pasitrauke, taiau Rossignoliui pavyko iifruoti slapta hugenotu praneima, kuriame buvo raoma, kad ju c ss s s amunicijos atsargos baigiasi. Karaliaus alininkai pa m miesta, o Rossignolis gavo labai gerai atlyginama s e e kriptoanalitiko tarnyba karaliaus dvare.
4
Senuju amiu kriptograjos apvalga z z
Kriptoanalitiku tarnybas prie savo dvaru isteig ir kiti Europos valdovai. Sios tarnybos paprastai e buvo vadinamos ,,juodaisiais kambariais (Black Chamber, Cabinet Noir, Geheimkabinett). Juose dirbantys mon s atpl in jo ir skait laikus, deifravo ifrus. Geriausia kriptoanalitiku tarnyba tur jo Austrijos z e es e e s s s e imperatorius. Deimties moniu grup kasdien uifruodavo ir deifruodavo apie 100 praneimu. Jie mok jo s z e zs s s e visas Europos kalbas. Po Didiosios pranczu revoliucijos paira i ,,juoduosius kambarius em keistis. Laisv s idealai ir z u zu e e privaios korespondencijos skaitymas visikai nesuderinami dalykai. Juodieji kambariai em nykti. Su jais c s e ir klasikin ,,pietuko ir popieriaus kriptograja. e s Taiau 1837 metais prasid jo nauja epocha. Ji prasid jo (beveik kaip visos naujos epochos) be didec e e lio triukmo: Samuelis Morz irado telegrafa. Informacija, kuria reikia perduoti, virto paprasiausiais s e s c brkneliais ir takais. Tie brkneliai ir takai daug ka pakeit . Pavyzdiui, miams vadovaujanius genu s s u s s e z us c erolus nusodino nuo irgu, ant kuriu jie steb davo miu eiga, ir pasodino u stalu kakur saugioje ufront s z e us z z z e vadaviet je. Moraliniu poiriu, pasauliui tikriausiai btu buve geriau, jeigu jie ir toliau btu jodin je ir e zu u u e kariave pagal imtmeiais nesikeiianias taisykles, taiau nenugalima irad ju ir mokslininku aistra viska s c c c c s e iaikinti ir pritaikyti galu gale iteikia ju sukurtus prietaisus i rankas tiems, kuriu aistra naikinti ir griauti. s s Siaip ar taip ir kriptograja tur jo prisitaikyti prie pasikeitusio informacijos vaizavimo ir perdavimo e bdo. u Naujuju amiu reikalavimus kriptograjai pirmasis labai aikiai ir konkreiai suformulavo Augustas z s c Kerckhoas savo straipsnyje ,,La cryptographie militaire, 1883 metais ispausdintame urnale ,,Journal de s z sciences militaires. Jo maksimas verta apvelgti, kadangi jos i esm s lieka aktualios ir msu laikams. z s e u A. Kerckhoas konstatuoja, kad atsirado btinyb ifruoti ne pavienius vienkartinius praneimus, taiau u es s c garantuoti nuolatini ifruotos informacijos perdavima tarp armijos vadavieiu tokiais kanalais, kuriu savyb s s c e negali bti keiiamos. Jis suformulavo eis reikalavimus informacijos ifravimo prietaisams, kurie gali bti u c s s s u naudojami. Pirma, jeigu ifravimo sistema gali bti iveikta, tai tik matematikai (le syst`me doit tre mat`riellement, s u s e e e sinon mathmatiquement, indcryptable ). Taigi ifruota informacija negali bti atskleista, taip kaip i d lion s daleliu sudedamas paveikslas; t.y. s u s e e sistema galima iveikti tik atskleidus jos matematinius pagrindus. Antra, sistema turi bti tokia, kad net ja tur damas prieininkas negal tu jos iveikti (il faut quil nexige u e s e pas le secret et quil puisse sans inconv`nient tomber entre les mains de lennemi ). e Treia, sistemos raktas turi bti isimenamas ir perduodamas jo neuraius, jis turi bti keiiamas (la c u z s u c cl` doit pouvoir en tre communiqu`e et retenue sans le secours de notes crites, et tre change et modie au e e e gr des correspondants). Ketvirta, sistema turi bti pritaikyta telegrafo ryiui (il faut quil soit applicable a la correspondance u s t`l`graphique). ee Penkta, ifravimo sistema turi bti neiojama ir naudojimuisi ja nereiktu daugelio moniu (il faut quil s u s z soit portatif, et que son maniement ou son fonctionnement nexige pas le concours de plusieurs personnes). s Seta, sistema turi bti paprasta naudotis: neturi bti reikalinga nei proto itampa, nei ilga taisykliu u u seka (le syst`me doit tre dun usage facile ne demandant ni tension desprit, ni la connaissance dune longue e e s`rie de r`gles a observer). e e Jeigu ir reiktu ka pakeisti pritaikant i ,,kriptograjos kodeksa msu laikams tai vietoje telegrafo s u min ti elektronini ryi. e s Taiau kriptograja Kerkhoo laikais vis dar buvo kdikyst s amiuje. Pats A. Kerkhoas savo straipc u e z snyje rao, kad ji stebina mokyti mon s, silantys ifravimos sistemas, kurias iveikti galima per pusvalandi. s z e u s 1861 metais prsu majoras W. Kassiski ileido broira, kurioje aprae, kaip galima iveikti Vigenere ifra. u s su s s Jo metodas paprasiausiai liko nepasteb tas, ir Vigenere ifras dar ilgai buvo laikomas visikai saugiu. c e s s Kad kriptograjos reikm btu suvokta, reik jo sunkiu ibandymu. Btinybe kuo greiiau subresti s e u e s u c atskleid pirmasis pasaulinis karas. e
Ivadas
5
I pasaulinio karo plakatas Kriptoanalitiku skyriai atsirado visu aliu slaptosiose tarnybose. Paprastai viena kriptoanalitiku grup s e steng si deifruoti diplomatine, kita karine korespondencija. Kriptoanaliz tapo kasdieniu ,,juodu darbu. e s e Dideliu pastangu ifruotoms telegramoms gauti nebereik jo pakakdavo pasiklausyti radijo stoiu. s e c Pirmojo pasaulinio karo metais kriptoanalitiku darbas pirma karta akivaizdiai paveik lemiamus poliz e tinius sprendimus. Anglu kriptoanalitiku tarnyba ,,Room 40 1917 metais iifravo vokieiu usienio ministro ss c z Arthuro Zimmermano telegrama vokieiu ambasadoriui Meksikoje. Telegramoje buvo siloma imtis veiksmu, c u nuteikianiu Meksika prie JAV. Kai telegramos tekstas tapo inomas amerikieiams prezidentas Wilsonas c s z c pri m sprendima d l karo paskelbimo vokieiams. e e e c Vokieiai prad jo kara netur dami geros kriptoanalitiku tarnybos. Sioje srityje prieininkai juos gerokai c e e s pranoko. ,,Room 40 darbuotojams nebuvo sunku iveikti nesud tingus vokieiu ifrus, tuo labiau, kad raktai e c s buvo retai keiiami. 1918 metais vokieiai prad jo naudoti vadinamaji ADFGVX ifra ir keisdavo rakta c c e s kasdien. Taiau ir i ifra greitai iveik pranczu kriptoanalitikas leitenantas Georges-Jean Painvin. c s s e u Apskritai, pirmojo pasaulinio karo metai yra svarbus kriptologijos istorijos etapas. Per iuos metus s kriptologija i antraeilio dalyko tapo svarbiu politikos ir karybos elementu. s Treiajame XX amiaus deimtmetyje kriptograjos paanga visu pirma sietina su elektriniu-mechaniniu c z s z ifravimo prietaisu konstravimu ir tobulinimu. s Jaunas AT &T bendradarbis G. Vernamas dar 1917 metais JAV upatentavo ifravimo irengini, kuriame z s naudojamas atsitiktinai generuotas, tokio pat ilgio kaip pats ifruojamas tekstas raktas. Jis pasil savo s ue ifravimo maina JAV vyriausybei, taiau pasilymas buvo atmestas. Ities, naudotis tokia sistema gana s s c u s sud tinga, taiau tai vienintel visikai saugi kriptosistema. Apskritai JAV nuo 1861 iki 1980 metu buvo e c e s iduota apie 1700 su kriptograja susijusiu patentu. s Taiau pagrindin XX a. treiojo deimtmeio kriptograjos id ja rotoriai. Rotoriai tai diskai, c e c s c e suverti ant vienos aies ir galintys sukiotis. Ant abieju rotoriaus pusiu yra elektriniai kontaktai, atitinkantys s ab c l s raides. Gretimu rotoriu kontaktai lieiasi. Technin rotoriais pagristu ifravimo mainu konstrukcija e ee c e s s yra gana sud tinga, taiau bendraji veikimo principa paaikinti galima visai paprastai. Sifravimo mainos e c s s primin elektrines spausdinimo main les: renkant klaviatroje teksta ant popieriaus i karto spausdinamas e s e u s teksto ifras. s Prisiminkime Alberti skritulius: vienas ju yra didesnis, kitas maesnis, pastarasis gali sukiotis apie z bendra skrituliu ai. Ant abieju skrituliu iraytos ab c l s raid s, maojo skritulio raid s yra tiesiog po s s s e ee e z e didiojo skritulio raid mis. Isivaizduokime, kad naudojimasis iais skirtuliais yra ,,mechanizuotas: papaudus z e s klavia, ant popieriaus atsiranda raid , kuri maajame skritulyje yra parayta po klavio raide, be to skritulys s e z s s per viena raide pasisuka. Paspaudus klavia su kita raide, v l atspausdinamas jos ifras, o maasis skritulys s e s z pasisuka ir t.t. Nesunku isitikinti, kad i sistema tai Vigenere ifras, kurio ilgis lygus ab c l s raidiu skaiiui s s e ee z c n.
6
Senuju amiu kriptograjos apvalga z z
Galima prie dvieju skrituliu prid ti dar ir treiaji, kuris taip pat gali sukiotis. Galime padaryti taip, e c kad skrituliai suktusi pagal ta paia taisykle kaip elektros, duju ir kt. apskaitos skaitikliai: i pradiu sukasi c s z maasis skritulys; jam apsisukus ratu, per viena padala pasisuka vidurinysis skritulys; v l sukasi maasis z e z skritulys ir t.t. Tai btu schematikas ifravimo mainos su trimis rotoriais modelis. Juo realizuojamas u s s s Vigenere ifras su n2 ilgio raktu. s Rotoriu id ja kilo keliems tarpusavyje nesusijusiems mon ms. Vokietis Arthur Scherbius upatentavo e z e z iradima 1918 metais, olandas Hugo Koch ir vedas Arvid Damm 1919 metais, amerikietis Edward Hebern s s 1921 metais. Didel s komercin s s km s irad jai nesulauk . e e e e s e e A. Scherbius rma ,,Chiriermaschinen Aktiengesellschaft 1923 metais pristat komercini ifravimo e s mainos, pagristos rotoriais, modeli ENIGMA A. V liau pasirod modeliai B, C, D ir kt. Daugelis vyriausybiu s e e nusipirko po egzemplioriu, kad specialistai gal tu istudijuoti ir modikuoti. pats A. Scherbius tragikai uvo e s s z 1927 metais, o jo bendrov pakeistu pavadinimu gyvavo iki 1945 metu. e Vokieiai, pirmajame pasauliniame kare, neivertine kriptograjos reikm s, naujaji kara nor jo prad ti c s e e e tinkamai pasiruoe. Pagrindin ju kriptogran amunicija keli atitinkamai modikuoti ENIGMA variantai. s e e Taiau jiems v l labai nepasisek . c e e Lenkai buvo sukre gera kriptoanalitiku grupe. 1932 metais jaunas matematikas Marian Rejewski u isteng iveikti Wehrmachto ENIGMA su trimis rotoriais varianta. Sifrogramu, kurios radijo bangomis buvo e perduodamos Prsijoje, lenkai tur jo pakankamai. Jie pasinaudojo ir vokieiu neatsargumu. Pavyzdiui, u e c z gana danai bdavo ifruojami raidiu pakartojimai: bb, ss ir t.t. Lenkams pad jo ir i pranczu nipo z u s z e s u s Hans-Thilo Schmidt, dirbusio vokieiu gynybos ministerijoje, gauta informacija. Jis perdav instrukcijas, c e kaip naudotis ENIGMA, o taip pat keleta raktu. 1943 metais H.-T. Schmidt buvo demaskuotas ir nuudytas. z Taiau 1938 metais vokieiai pakeit ifravimo sistema. Buvo prid ti dar du rotoriai. Pad tis dar si c c e s e e e gr sminga. Reik jo glaudesnio Vakaru aliu bendradarbiavimo. Tarpininkaujant pranczams 1939 metu e e s u liepos 25 diena Varuvoje buvo surengtas lenku ir anglu kriptoanalitiku susitikimas. Susp ta paiu laiku, nes s e c po m nesio prasid jo antrasis pasaulinis karas. Lenkai perdav anglams savo patirti deifruojant ENIGMA. e e e s Prie pat kara anglai savo kriptoanaliz s tarnyba i usienio ministerijos perk l i Bletchley Park vietove. s e s z ee Cia kriptoanalitikai dirbo per visa kara. Vienas i svarbiu kriptoalitiku tarnybos udaviniu buvo ENIGMA s z deifravimas. s
Vokieiu ifravimo maina ENIGMA c s s
Ivadas
7
1939 metu rugs jo 4 diena i Bletchley Park atvyko matematikas Alanas Turingas. Jis prad jo studijuoti e e lenku informacija ir analizuoti ENIGMA. Anglu Bletchley Park kriptoanalitikams jau 1940 metais pavyko iveikti silpniausia ENIGMA varianta ta kuriuo naudojosi Geringo Luftwae. Nuo 1941 metu birelio z jau buvo deifruojama ir kariniu jros paj gu Kriegsmarine korespondencija, nuo 1941 metu rugs jo anglai s u e e skait maralo Rommelio praneimus Berlynui. Tik sausumos karo paj gu ifru nepavyko atskleisti iki 1942 e s s e s metu. Si ENIGMA istorija akivaizdiai rodo, koks pavojingas isamia analize neparemtas pasitik jimas z s e kriptograjoje. Vokieiai man , kad ju ENIGMA neiveikiama, o ji jau nebebuvo paslaptis prieininkams c e s kone nuo pat sistemos naudojimo pradios! z Panaiai atsitiko ir japonams. Jie neivertino amerikieiu kriptoanalitiku j gos, galbt tik josi kad pati s c e u e japonu kalba jau yra papildoma saugumo garantija. Amerikoje dirbo Williamas Friedmanas. Jis laikomas vienu geriausiu visu laiku kriptoanalitiku. I karin s kriptograjos tarnyba ji atved kelias, prasid jes labai toli nuo valstybiniu paslapiu. Jis tyrin jo tuo e e e c e metu populiaria hipoteze, kad Sekspyro kriniu autorius i tikruju visai ne Sekspyras, bet losofas Roderis u s z Baconas. Nuo 1917 metu Williamas Friedmanas kartu su savo mona Elizabeth dirbo kriptoanalitiku darba z JAV vyriausybei. Beje, W. Friedmanas prad jo pirmasis naudoti ir pati kriptoanaliz s termina. e e
Amerikieiu kriptografai William ir Elizabeth Friedman c Japonai taip pat naudojo ifravimo mainas su rotoriais. Pirmaja i ju, amerikieiu pavadinta RED, s s s c amerikieiams pavyko iveikti dar 1936 metais. 1937 metais japonai prad jo naudoti sud tingesni ifravimo c e e s irengini PURPLE. Amerikieiams prireik atuoniolikos m nesiu, kad ja perprastu. c e s e Claude Shannon (1916-2001) baiges studijas 1936 metais atvyko i Masaiusetso universiteta ir prad jo dirbti pas profec e soriu V. Bush, kuris konstravo mechanini skaiiavimo irengini. c Tai buvo veikiau ininieriaus ir mechaniko darbas negu tyz rin tojo. Profesoriaus paskatintas Shannonas prad jo rayti e e s disertacija apie logines operacijas, susijusias su konstruojama maina. Jam kilo mintis patobulinti prietaisa panaudojant s elektrines schemas. Kita puiki Shannono mintis apie Blio u login s algebros ir elektriniu schemu analogija. 1937 metais e ubaigta disertacija buvo labai gerai ivertinta, o jos rezulz tatai beveik i karto pritaikyti. Jo darbai svarbs kompiuteriu s u raidai. Kitas svarbus Shannono darbas pasirod 1948 metais, e kai jis dirbo Bello laboratorijoje. ,,The mathematical theory of communication kartais vadinama informacijos amiaus z ,,Magna Charta.
8
Naujuju laiku kriptograja
1948 metais ivyko vienas svarbus ivykis, kuri net ivykiu nelabai tinka vadinti. Tiesiog buvo ispausdintas s Claude Shannono straipsnis ,,A Mathematical Theory of Communication. Tai reik naujos matematikos s e srities, nagrin janios informacijos perdavimo procesus, gimima. Naujoji teorija iniro kone tobula forma e c s kaip kokia Botielio Venera. Prie tai buvo ir kitas straipsnis, tiksliau slaptumo grifu paym tas C. Shannono c s z e veikalas ,,A Mathematical Theory of Cryptography. Taigi ir kriptograja i neapibr tu kontru disciplinos s ez u tapo matematikos sritimi. Taiau tuomet, inoma, niekas negal jo nusp ti, kokia reikme ji igys vos po c z e e s keliu deimtmeiu. Kad paliks uniformuotu karikiu ar smokinguotu diplomatu draugija ir taps nelabai s c s disciplinuotos ir tvarkingos universitetu bendruomen s diskusiju tema. e Uuot min je naujuju laiku kriptograjos faktus, veriau imkim s jos studiju. z e c e 1.2. Naujuju laiku kriptograja e Industrin visuomen i esm s virto informacine. Zem s paviriu tarsi voratinklis apraizg informacijos e e s e s e perdavimo kanalai, kuriais keliauja miliniki informacijos srautai. z s Visas is didiulis ir sud tingas tinklas susideda i elementu, kuriuos galime apibdinti labai paprastai: s z e s u subjektas A perduoda informacija subjektui B. Gali bti, kad A ir B vienas ir tas pats subjektas; pavyzdiui, kai informacija uraoma saugojimui. u z z s Kad ie ryio subjektai nebtu grynos abstrakcijos subjekta A danai vadinsime Algiu, o B Birute. s s u z Sioje paprastoje schemoje abu subjektai niekada n ra vienu du. Visu pirma, visada dalyvauja tai, ka e mes pavadinsime Gamta. Tad praneimas, kuri A siunia B, gali pasiekti adresata ikraipytas arba visai jo s c s nepasiekti. Apie i treiaji informacijos perdavimo proceso dalyvi galima pasakyti tai ka: s c s Gamta gali pakenkti informacijos perdavimo procesui, bet niekada nedaro to i piktos valios. s Gamta netobulina savo kenkimo bdu ir priemoniu. u Vis d lto, neigiamo Gamtos poveikio informacijos perdavimui danai negalima nepaisyti. Prienuodiu e z s z galima rasti kodavimo teorijoje. 1 Taiau kartais tenka daryti ivada, kad ryi veikia ne tik Gamta bet ir paslaptingasis subjektas Z c s s (Zigmas). Apie ji tenka daryti tokias prielaidas: Svarbiausias Z veiklos tikslas yra kontroliuoti A ir B ryi. s Z yra labai aukto intelekto individas (galbt daug kartu kartu protingesnis u mus). Siuniamai s u z c informacijai perskaityti ir analizuoti jis gali naudoti geriausias iuo metu egzistuojanias technines pries c mones. Taigi nor dami isaugoti savo ryio privatuma Algis ir Birut turi pasirpinti jo saugumu. Sukurti e s s e u priemones ryio saugumui garantuoti tai ir yra iukis naujuju laiku kriptograjai. Galvojant apie saugu ryi s ss s visu pirma tenka atsivelgti i tai, kad zin s ryio saugumo priemon s negali bti efektyvios. Juk elektroninio z e s e u ryio kanalu neimanoma pasl pti. O nesinaudoti jais reikia nedalyvauti informacin s visuomen s gyvenime. s e s e e Be ziniu ryio saugumo priemoniu yra dar teisin s ir matematin s. Matematin s ryio saugumo utikrinimo s e e e s z priemoniu krimas ir yra kriptograjos mokslo udavinys. u z Siekiantis paeisti A ir B ryio sauguma Zigmas irgi turi savo moksla kriptoanalize. Kriptograja z s ir kriptoanaliz sudaro kriptologija. Teorijos pl tojimo poiriu Zigmas n ra Algio ir Birut s prieai. Juk e e zu e e s paeisdamas Algio ir Birut s ryio sauguma Zigmas parodo, kad ju naudojama sistema n ra pakankama. z e s e Aptarkime, ka i viso reikia informacijos saugumas, t.y. kas gresia vieu perdavimo kanalu siuniamai s s s c informacijai. Visu pirma, Z gali ta informacija perskaityti. Pavyzdiu, kai tai yra nepageidautina, galima z nesunkiai pateikti i politikos, karybos, verslo, o taip pat ir moniu tarpusavio bendravimo sriiu. Perdavimo s z c kanalo daniausiai neimanoma, o tod l ir neverta sl pti. Tad verta ir reikia sl pti informacijos prasme, t. y. z e e e atvira teksta versti ifru, ifruoti. s s Sifravimo bda arba algoritma tenka sugalvoti. Galima sugalvoti ka nors panaaus i egiptieiu rata. Jei u s c s algoritmas labai paprastas Zigmas ji nesunkiai atsp s. Jeigu sud tingas algoritma teks urayti ir saugoti. e e z s 1 Zr.: Vilius Stak nas. Informacijos kodavimas. Vilniaus universiteto leidykla. 1996. e
Ivadas
9
Taiau reikia atsiminti Z savybes. Jei ifravimo algoritmu naudosim s pakankamai ilgai, Zigmas ji imins c s e arba paprasiausiai gaus (jis lengvai igyja moniu pasitik jima ir negaili pinigu). Kadangi algoritma sunku c z e nusl pti, to ir neverta daryti. Reikia, kad ifravimo algoritmas tur tu parametra (rakta), ji ir reikia sl pti. e s e e Tai vienas i pagrindiniu moderniosios kriptograjos principu, suformuluotu Kerckho von Nieuwenhofo2 s Senuju amiu kriptograjos istorijos apvalgoje jau min jome keleta ifru su raktais pavyzdiu. z z e s z Stai dar vienas toks pavyzdys. Posaki HE WHO TEACHES LEARNS ifruosime naudodami ,,geleinkelio tvorel s sistema su raktu k = 4: s z e H E W H gausime HELETASESWOCEANHHR. Jeigu naudojame tinkama ifravimo sistema, galime tik tis, kad Zigmas net ir tur damas msu praneimus s e e u s neistengs atskleisti ju prasm s, t.y. bus utikrintas informacijos slaptumas arba lotynikai tariant kone z s dencialumas. Taiau Zigmas gali ne tik pasyviai klausytis ar skaityti A ir B praneimus. Jis gali aktyviai isiterpti i c s ryio kanala ir pakeisti ka nors siuniamoje informacijoje sau naudinga linkme. Net vieno bito pakeitimas s c gali sukelti labai nemaloniu padariniu. Isivaizduokime, kad praneime nansu istaigai ,,Perveskite 1000$ s i saskaita Nr. 1000000 vietoje paskutiniojo nulio atsirado vienetas. Kita vertus, Zigmas gali perduoti Birutei dezinformacija, prisidenges siunt jo Algio vardu. Tod l danai pageidautina, kad praneimo gav jas e e z s e tur tu galimybe patikrinti, ar ji pasiekusi informacija n ra pakeista bei treiojo asmens sufalsikuota. Taigi e e c utikrinti informacijos vientisuma ir autentikuma taip pat yra vienas i kriptograjos udaviniu. Autz s s z entikumo problema turi dar viena aspekta. Kai Algis ir Birut yra tiesioginiame ryyje, jiems svarbu inoti, s e s z kad ryio kanalas tikrai jungia juos, o ne, pavyzdiui, Birute ir Algiu apsimetusi Zigma. Tod l svarbu, s z e kad btu imanoma kriptograjos priemon mis patikrinti ryio subjektu identiteta. Sis udavinys vadinamas u e s z subjekto identikavimo problema. Tam tikru problemu tarp Algio ir Birut s gali kilti ir be Zigmo isikiimo. Tarkime Algis praneime e s s Birutei kaka paad jo, o v liau paneig , tvirtindamas, kad tas praneimas yra piktavalio Zigmo suklastotas. z z e e e s Taigi atsiranda btinyb tur ti priemones, kuriomis btu galima irodyti, kad Algis ketina isiad ti savo u e e u s z e praneimo. s Trumpai, nors ir neapr piant visu aspektu galima teigti, kad pagrindiniai kriptograjos mokslo tike slai - sukurti priemones, kurios gali bti naudojamos informacijos slaptumui, vientisumui bei autu entikumui garantuoti, ryio subjektu identitetui patikrinti, isiadejimams paneigti. s s s z Taiau ne visada visi ie reikalavimai yra vienodai svarbs. Aukiau min tas praneimas bankui galbt c s u sc e s u gali bti perduotas ir atviru tekstu, taiau labai svarbu, kad jis btu autentikas. u c u s I pradiu panagrin kime kriptograjos priemoniu taikyma informacijai ifruoti. s z e s Sudarysime matematini kriptogan s sistemos (kriptosistemos) modeli. e 1.2.1 apibreimas. z Kriptograne sistema sudaro aibiu trejetas < M, K, C > ir funkciju e(, K) : M C, d(, K) : C M, K K, O T E A C H E S L E A R N S
rinkinys, ia komponentes interpretuosime taip: c M siuniamu praneimu aib ; c s e K naudojamu raktu aib ; e C ifruotu praneimu aib ; s s e e(, K) ifravimo procedra, naudojant rakta K; s u d(, K ) deifravimo procedra, naudojant rakta K . s u 2
Jean Guillaume Hubert Viktor Francois Auguste Kerckho von Nieuwenhof (18351903) olandu lologas.
10
Naujuju laiku kriptograja
Aib s M elementus vadinsime neifruotais arba atvirais tekstais (plaintext), aib s C ifrais (ciphers).3 e s e s Praktikai kiekvienas praneimas gali bti labai ilgas simboliu (bitu) srautas. Sifravimo procedra yra s s u u funkcija, kuri pagal tam tikra algoritma veria atvira teksta ifru. Jei ji operuoja pavieniais simboliais c s (bitais), gaunama ifra vadinsime srauto ifru (stream cipher), jeigu praneimas skaidomas blokais ir ie s s s s blokai ifruojami ifrus vadinsime bloku ifrais (block ciphers). s s s Bendroji ryio, kuri saugo tokia kriptosistema, schema yra tokia: s subjektas A ifruoja praneima naudodamas rakta Kc,A ir siunia B ifra C = e(M, Kc,A ); s s c s subjektas B deifruoja ifra naudodamas rakta Kd,B skaito gauta praneima d(C, Kd,B ) = M ; s s s jei yra atgalinis ryys, ifravimas ir deifravimas vykdomas naudojantis raktais Ke,B , Kd,A . s s s Gali atrodyti, kad tokia raktu gausyb yra nereikalingas apibendrinimas. Ities, paprasiausiose sistee s c mose Kc,A = Kd,A = Kc,B = Kd,B . Jas vadinsime simetrinemis. Simetrin mis vadinsime ir tokias sistemas, kuriose deifravimo raktas nesu e s tampa su ifravimo raktu, taiau gali bti i jo nesunkiai surandamas. Vienas i simetrin s kriptosistemos s c u s s e trkumu reikalingas atskiras saugus kanalas raktams perduoti. Tai gali brangiai kainuoti (kiek kainuoja u nuskristi i Vilniaus i Cikaga?). Juk raktus reikia po tam tikro laikotarpio keisti! s
Ryio, saugomo simetrine kriptosistema schema s Simetrin s sistemos pavyzdys geleinkelio tvorel s sistema. Simetrin sistema idealiai tinka tuo atveju, e z e e kai A ir B tas pats subjektas, t. y. privati informacija tiesiog ifruojama saugojimui nuo negeru akiu. Taiau s c kai simetrine sistema nori naudoti tarpusavio ryiui du skirtingi subjektai, jie turi susitarti d l rakto, bei s e abu laikyti rakta paslaptyje. Taiau paslaptis, kuria ino bent du asmenys, jau neb ra gryna paslaptis. c z e Simetrin se sistemose informacijos slaptumas ir autentikumas utikrinami arba paeidiami vienu metu. e s z z z Taiau simetrin je sistemoje slypi kartais nepageidaujama galimyb isiginti informacijos. Tarkime, naudoc e e s damas simetrine kriptosistema A pasiunt B praneima: ,,Sutinku su reikalavimais, tik atsiusk 1000 litu. e s Pinigus gavo, taiau nieko nepadar , motyvuodamas, kad Zigmas isp jo rakta (greiiausiai tai ivyko d l B c e e c e neapdairumo) ir nutryn A siustame praneime odio ,,sutinku pried li ,,ne. Birut tur s nuryti ia karia e s z z s e e e s c piliule, nes jokiu formaliu galimybiu irodyti, kad A meluoja, n ra. e 1976 m. Die ir Hellman pasil visai nauja informacijos ifravimo principa. Jo esm ifravimui ir ue s e s deifravimui naudojami skirtingi raktai, be to inant ifravimo rakta praktikai neimanoma surasti deifravimo s z s s s rakto. Tokios sistemos vadinamos asimetrin mis arba vieo rakto (public-key) sistemomis. Sitaip pabr iama, e s ez kad ifravimo raktas gali bti paskelbtas vieai, ryio slaptumui tai nepakenks. Vieo rakto sistema galima s u s s s Kartais ifrai vadinami kodais. Kakada kodai ir ifrai tikrai buvo tas pats. Taiau msu laikais Algis ir Birut naudoja s z s c u e kodus, kai jiems trukdo Gamta, o ifrus, kai kovoja su Zigmu. s3
Ivadas
11
palyginti su pato d ute: visi gali mesti savo laikus pro plyi, taiau d ute atsirakinti ir skaityti laikus s ez s s c ez s (deifruoti) gali tik turintis pato d ut s rakta. s s ez e
Ryio, saugomo vieo rakto kriptosistema, schema s s Apvelkime, kaip vieo rakto sistemoje utikrinamas informacijos slaptumas. Subjektas A siunia z s z c praneima M subjektui B, ifravimui naudodamas rakta Kc = Kc,A , kuris yra vieas, t. y. ne tik neslepias s s mas, bet galbt vieai visiems paskelbtas (kaip adresas adresu knygoje). Gauta ifruota teksta C = e(M, Kc ) u s s galima perskaityti, tik turint rakta Kd,B , kuris yra inomas tik B. Net pats siunt jas A nebegali deifruoti ifro z e s s C, nes pagal rakta Kc,A praktikai negalima sudaryti rakto Kd,B . Suprantama, kad tokiu bdu utikrinamas s u z praneimo slaptumas, taiau jokiu bdu ne autentikumas, nes kas nori, tas gali rayti B kieno tik nori vardu. s c u s s Nors vieo rakto sistemai nereikia saugaus kanalo, taiau Zigmas vistiek gali sukelti tam tikru problemu. s c Tarkime, Zigmas, isiterpes i nesaugu kanala, sugavo Algiui siuniama vieaji Birut s rakta, ji usirae, o c s e z s Algiui pasiunt savo vieaji rakta. Vargas Algis bus apgautas saugaus ryio su Birute jis nebetur s! e s s s e
Kriptosistemos ataka, apsimetant teis tu ryio subjektu e s Taigi ir vieo rakto sistemose gali tekti spresti raktu paskirstymo problema. s Dabar tarkime, reikalinga utikrinti praneimo autentikuma, nesirpinant jo slaptumu. Tada saugomas z s s u tas raktas, kuriuo informacija ifruojama, t. y. raktas Kc,A . U jo saugojima atsakingas pats siunt jas A, s z e ir jeigu Z ji suinojo d l paties siunt jo kalt s. Gi skaitymui skirtas raktas Kd,B = Kd gali bti vieas, z e e e u s nes pagal ji praktikai negalima atkurti Kc,A . Zinoma, teorin galimyb tai padaryti egzistuoja, taiau jeigu s e e c reikalingo variantu skaiiaus patikrinimui reikia sugaiti metu metus... c s Vieo rakto schemoje realizuojama skaitmeninio parao (digital signature) id ja. Subjekto A paraa s s e s suprantame, kaip tam tikra informacija, kuria
12
Naujuju laiku kriptograja
gali sukurti tik A; B gali patikrinti, ar paraas tikrai sukurtas A; s jei A bando isiginti parao, treiasis asmuo turi tur ti nei nuo A, nei nuo B, nei nuo savo simpatiju ir s s c e antipatiju nepriklausanti mechanizma, nustatanti ar paraas tikrai priklauso A. s Skaitmeninio parao sistema gali bti realizuota ir klasikin se kriptosistemose, taiau dalyvaujant s u e c treiajam nesuinteresuotam asmeniui, savotikam elektroniniam notarui! c s Nors tai ir atrodo keistoka, bna atveju, kai praneimu autentikumas yra btinas, o slaptumas nepageiu s s u dautinas. Pavyzdiu gali bti tokia branduolinio nusiginklavimo sutarties kontrol s sistema, kuri i tikruju z u e s buvo pasilyta. u Salis X igyja teise alyje Y tur ti seismologijos laboratorija ir surinkta informacija siusti i Y i X ryio s e s s kanalu. Saliai X rpi, kad informacija, kuria ji gauna, ateitu btent i jos laboratorijos, o ne i alies Y u u s s s kompiuteriu. Tad X suinteresuota informacijos tapatumu. Kita vertus Y nenori, kad ryio kanalu naudotusi s ne tik laboratorija, bet ir X valgybos rezidentai Y teritorijoje, tod l nori skaityti siuniama informacija. Savo z e c ruotu tapatumas rpi ir aliai Y. Nors ji ir skaito visa siuniama informacija, kai kas gali bti sufabrikuota z u s c u X alies specialistu, o politikai tiesiog gali apkaltinti Y, kad pastaroji neigia tai, kas jai kenkia. Tokiu s atveju treiasis asmuo (SNO technin s tarnybos) turi tur ti galimybe patikrinti alies X pateikiamus failus c e e s ir nustatyti, ar jie tikrai gal jo bti perduoti i laboratorijos. e u s Vieo rakto schemoje slaptumo ir tapatumo reikalavimai gali bti utikrinti tuo paiu metu. Tarkime A s u z c turi pasiusti B slapta ir autentika praneima. Tada A turi tur ti privatu rakta Kc,1 , kuri naudoja autentiku s s e s bet nebtinai slaptu praneimu pasiraymui ir viea rakta Kc,2 , kuri naudoja slaptu praneimu subjektui B u s s s s ifravimui. Tada A praneima M ifruoja du kartus: s s s C1 = e(M, Kc,1 ), C2 = e(C1 , Kc,2 ).
B taip pat turi du raktus: privatu rakta Kd,1 slaptu praneimu skaitymui ir Kd,2 autentikumo reikalaus s janiam nebtinai slaptu praneimu skaitymui. Deifruojama irgi dviem etapais: c u s s C1 = d(C2 , Kd,1 ), M = d(C1 , Kd,2 ).
Pamin sime, kad skaitmeninis paraas naudojamas programin s irangos apsaugai. Kad prisidengus svetimu e s e vardu sistemai nebtu iperama diversin programin iranga, prie ja naudojant patikrinama, ar ji gamintojo u s e e s pasirayta. s Tenka pridurti, kad nuostabiomis savyb mis pasiyminti vieo rakto sistema gyvuoja tiek matematikos e z s j gos, tiek silpnumo d ka. Vieo rakto sistemu saugumas remiasi tuo, kad n ra inomi efektyvs algoritmai e e s e z u tam tikriems skaiiavimo udaviniams spresti. Pavyzdiui, jeigu iau diena, kai matematikai sukurs efekc z z s s tyvius labai dideliu natriniu skaiiu skaidymo pirminiais daugikliais algoritmus, ji taps kai kuriu vieo rakto u c s sistemu laidotuviu diena. Tiek simetrin s, tiek vieojo rakto kriptosistemos turi savu pranaumu ir trkumu. Pavyzdiui, ifravimas e s s u z s ir deifravimas vieo rakto sistemose paprastai reikalauja ymiai daugiau darbo negu simetrin se. Derinant s s z e abieju tipu sistemas galima sukurti efektyvia informacijos apsauga. Pavyzdiui, galima vieo rakto kriptoz s sistema naudotis paskirstant raktus, o ifruojant informacija simetrine kriptosistema. s Dideles resursu sanaudas vieo rakto kriptosistemose galima sumainti naudojant maios funkcijas (hs z s functions, hash kapoti smulkinti.) Maios funkcija (daniausiai mes ja vadinsime tiesiog h-funkcija) yra atvaizdis, priskiriantis bet kokio s z ilgio ab c l s {0, 1} simboliu srautui ksuoto ilgio vienetu-nuliu bloka. Taigi h-funkcija i praneimo padaro e ee s s ksuoto ilgio ,,santrauka (digest angl.). Svarbu, kad btu sunku pagal santrauka surasti kokia nors ja u atitinkanti praneima (ju, suprantama, yra ne vienas). Sudarant paraa, galima naudotis ne visu (galbt s s u labai ilgu praneimu), bet jo santrauka. s Kaip jau min ta, svarbi raktu paskirstymas yra svarbi tiek simetriniu, tiek vieojo rakto kriptosistemu e s problema. Ja galima spresti naudojant dar viena ryio sistemos subjekta treiaji patikima asmeni (TPA) s c (TTP trusted third person). Galima susitarti, kad tik tie vieieji raktai galioja, kuriuos registravo TPA ir s patvirtino savo skaitmeniniu parau. s O dabar aptarkime, kokios yra yra kriptoanalitiko Zigmo problemos.
Ivadas
13
Atvejai, kai ifruotas tekstas deifruojamas ne matematin mis priemon mis, yra politikos, diplomatijos, s s e e valgybos ir kino lmu sritis. Aptarkime, kokia ryio kanalo ,,aliava gali naudotis kriptoanalitikas, siekz s z damas ,,sulauyti kriptosistema. Kalbame ne apie pavienio ifruoto teksto deifravima, bet apie deifravimo z s s s algoritmo (rakto) iminima, kas duotu galimybe Z skaityti siuniama informacija tol, kol raktas bus nepakeisc tas. Sifro kriptoanaliz , t. y. bandymas atkurti praneima be rakto, vadinama ataka. Jos s km priklauso e s e e nuo to, kokia informacija kriptoanalitikas gali naudotis. Jeigu naudojamasi tik ifrais, tai ataka vadinama s pavieniu ifru ataka (ciphertext-only attack). s Taigi tokia ataka galime suformuluoti kaip udavini: z Duota: C1 = e(M1 , K), . . . , Ci = e(Mi , K). Rasti: Arba M1 , . . . , Mi ir K, arba algoritma, kuris bet kokiam Ci+1 = e(Mi+1 , K) surastu Mi+1 . Jeigu pavyko gauti ne tik ifruotu, bet ir juos atitinkaniu pradiniu tekstu, kriptoanalitikas atlieka s c teksto-ifro poru ataka (known-plaintext attack). s Duota: M1 , C1 = e(M1 , K), . . . , Mi , Ci = e(Mi , K). Rasti: K arba algoritma, kuris bet kokiam Ci+1 = e(Mi+1 , K) nustatytu Mi+1 . Sifravima vykdo, suprantama, kompiuteriai. Gali bti, kad Zigmas gali pateikti ifravimo sistemai u s kokius nori tekstus ir gauti atitinkamus ifrus. Tada jis gali atlikti rimta kriptosistemos ibandyma: s s pasirinktu teksto-ifro poru ataka (chosen-plaintext attack). s Duota: M1 , C1 = e(M1 , K), . . . , Mi , Ci = e(Mi , K); ia praneimus M1 , . . . , Mi pasirinko pats kripc s toanalitikas. Rasti: K arba algoritma, kuris bet kokiam Ci+1 = e(Mi+1 , K) nustatytu Mi+1 . Taiau Zigmas gali tur ti dar daugiau galimybiu. Viena karta atlikes pasirinktu teksto-ifro poru ataka, c e s jis gali, atsivelgdamas i kriptoanaliz s rezultatus, pasirinkti naujus praneimus ir v l gauti ju ifrus. Si z e s e s ataka vadinama adaptyvia pasirinktu teksto-ifro poru ataka (adaptive-chosen-plaintext attack). s Kartais imanoma ir tokia ataka: kriptoanalitikas pasirenka ifrus ir gauna juos atitinkanius praneimus, s c s tai pasirinktu ifru ataka (chosen-ciphertext attack) . s Pavyzdiui, jis gali ivairius praneimus deifruoti parao tikrinimui skirtu raktu ir bandyti gauti netiesioz s s s gin s informacijos apie parau sudarymui naudojama rakta. e s Kaip gi galima vertinti kriptosistemos sauguma? Yra keli poiriai, ka laikyti saugia kriptosistema. zu Kriptosistema vadinama besalygikai saugia (unconditional security) , jei net ir tur damas beribius s e skaiiavimo resursus negali neinodamas rakto i ifro nustatyti, koks praneimas buvo siustas. Tai griec z ss s z iausias saugios kriptosistemos apibr imas. c ez Kriptosistema vadinama saugia sudetingumo teorijos poi riu (complexity-theoretic security), jei zu jos negali iveikti Zigmas, kurio skaiiavimo resursai leidia jam taikyti tik polinominio laiko algoritmus (t. c z y. naudojamas laikas ir atmintis polinomikai priklauso nuo ivedamu duomenu dydio). s z Sakoma, kad kriptosistemos saugumas yra irodomas (provable security), jeigu galima irodyti, kad sistemos iveikimas yra tolygus matematin s (daniausiai skaiiu teorijos) problemos, kuri laikoma sunkia, e z c isprendimui. s Kriptosistema vadinama skaiiavimu poi riu saugia (computational security), jeigu pasiektas skaic zu iavimu resursu lygis yra pernelyg emas, kad naudojant geriausias inomas atakas, sistema btu iveikta. c z z u Pagaliau ad hoc saugia arba euristikai saugia kriptosistema vadinama tokia sistema, kurios sauguma s patvirtina tam tikri danai euristiniai argumentai. Suprantama is terminas tereikia, kad specialistai atlikto z s s tam tikra sistemos analize, taiau iveikti kriptosistemos nepavyko. c